2018.12.28 董潇 袁琼 王子豪
2018年11月30日,继《互联网安全监督检查规定》生效后一个月,公安部网络安全保卫局发布了《互联网个人信息安全保护指引(征求意见稿)》(以下简称“《指引》”),以指导互联网企业建立健全公民个人信息安全保护管理制度和技术措施,从以下管理机制、技术措施和业务流程三个方面对企业信息保护方面作出更加细节的规定。
一、 管理制度
针对《网络安全法》第21条第一款对于网络运营者应“制定内部安全管理制度和操作规程,确定网络安全负责人,落实网络安全保护责任”的原则性要求,《指引》具体规定了管理制度的内容、制定发布、执行落实及评审改进的要求,并对管理机构的岗位设置、人员配置,管理人员的录用、离岗、考核、教育培训,外部人员访问进行了相应细化的规定。
二、 技术措施
值得注意的是,在技术措施层面,《指引》明确要求互联网企业对个人信息的安全保护水平至少应该达到GB/T22239-2008.7《信息安全技术 信息系统安全等级保护基本要求》(以下简称“《等保要求》”)中规定的第三级的保护水平,并主要从以下三个重点方面进行了规定:
1、网络和通信安全:《指引》与《等保要求》规定基本一致,但从个人信息处理系统的角度重申了网络架构、通信传输、边界防护、访问控制、入侵防范、恶意代码和垃圾邮件防范、安全审计等方面的具体要求。例如,明确要求企业应为个人信息处理系统所处网络划分不同的网络区域,并按照方便管理和控制的原则为各网络区域分配地址;企业应在个人信息处理系统的网络边界、重要网络节点进行安全审计,审计应覆盖到每个用户,应对重要的用户行为和重要安全事件进行审计等。
2、设备和计算:《指引》主要将三级的保护要求适用到与个人信息相关的系统,从身份鉴别、访问控制、安全审计、入侵防范、恶意代码防范和程序可信执行、资源控制等多个角度做出了细节的规定。例如,根据《指引》,对于登陆个人信息处理系统的用户应当进行身份鉴别,鉴别信息要求有一定的复杂度并定期更换,并采取两种或以上的鉴别技术进行身份鉴别;从访问控制角度,要求个人信息处理系统和存储个人信息的设备进行角色划分,授予管理用户所需最小权限,配置访问控制策略等。
3、应用和数据:《指引》从多个角度提出了具体要求,例如,应采取校验技术或密码技术保证重要数据在传输过程中的完整性,包括但不限于鉴别数据和个人信息;应提供个人信息的本地数据备份和恢复功能,提供异地实时备份功能;应保证鉴别信息所在或个人信息所在的存储空间被释放或重新分配前得到完全清除等。
三、 业务流程
《指引》第六节(业务流程)根据《网络安全法》规定的数据保护原则,提出对数据全生命周期每个环节具体的合规要求,相对《个人信息安全规范》:
1、在个人信息收集方面:《指引》强调个人信息收集时的安全性,要求收集个人信息之前, 对被收集人进行身份认证、在传输过程中应进行加密等保护处理、对收集内容进行安全检测和过滤的机制、 防止非法内容提交等。
2、在个人信息保存和删除方面:《指引》在《个人信息安全规范》的基础上,明确个人信息持有者应采取相应的管理手段,例如,保存信息的主要设备应对个人信息数据提供备份和恢复功能,列出了应采用的备份手段类型并且建议不少于一种备份手段;对于在正常情况下的数据删除应采取技术手段防止被重新恢复;废弃存储设备,应在进行删除后再进行处理。
3、在第三方委托方面:《指引》要求委托处理时,委托方应与受托方签订相关协议且委托方应对受托方的数据安全能力进行评估。
四、 简评
《指引》从内容和理念上与《网络安全法》、《等保要求》、《个人信息安全规范》等规范一脉相承,同时也在一定程度上细化、解释和明确了相关的规定,对互联网企业的个人信息保护工作做出了更有针对性的合规指引。
《指引》首次明确了互联网企业个人信息相关的信息系统应当遵循等保制度第三级的技术和管理保护措施,这对于存放个人信息的系统的安全性、企业内部关于个人信息保护的管理制度、岗位设置及人员配备等均从安全角度提出了更加明确和严格的要求。
对于该《指引》的具体适用范围、以及在执法实践中公安机关将如何参照《指引》要求核查企业的网络安全合规情况,将有待进一步观察和实践。